Um einen Schadensersatz bei einem Verstoß gegen die Datenschutzgrundverordnung (DSGVO) erfolgreich geltend machen zu können, müssen Betroffene einen entstandenen Schaden auch nachweisen können. Das Vorliegen eines rein hypothetischen Risikos der missbräuchlichen Verwendung von Daten durch einen Dritten genügt nicht. Das entschied der Europäische Gerichtshof (EuGH) in einem von LTO veröffentlichten Urteil nach Vorlage des Amtsgerichts Hagen. 

Personenbezogene Daten an Dritten übergeben

Grundlage für diesen Fall war eine eher skurrile, aber doch nicht so ungewöhnliche Geschichte: Ein Kunde hatte beim Elektronikhändler Saturn ein Haushaltsgerät gekauft, welches er an der Warenausgabe in Empfang nehmen wollte. Das Problem war allerdings, dass sich ein anderer Kunde unbemerkt vorgedrängelt hatte und diesem das Gerät bereits ausgehändigt wurde. Und das samt Kauf- und Kreditvertragsunterlagen, also sämtlicher persönlicher Daten wie Name, Anschrift, Arbeitgeber und Verdienst des eigentlichen Käufers. Als die Verwechslung etwa eine halbe Stunde später einem Mitarbeiter von Saturn aufgefallen war, wurden sowohl das Gerät als auch die Unterlagen an den richtigen Käufer ausgehändigt. 

Dem Kunden schmeckte das jedoch so gar nicht, weshalb er daraufhin Klage gegen Saturn erhob und Schadensersatz nach der DSGVO forderte. Darin machte er einen immateriellen Schaden aufgrund des Irrtums des Saturn-Mitarbeiters geltend, mit dem sich daraus ergebenden Risiko, die Kontrolle über die eigenen personenbezogenen Daten verloren zu haben. Das zuständige Amtsgericht Hagen setzte das Verfahren aus und legte zahlreiche Fragen zur Auslegung der DSGVO dem EuGH vor.

Hypothetisches Risiko genügt nicht

Wie der EuGH nun feststellte (Urteil vom 15.01.2024, Az. C-687/21), reicht es nicht aus, dass die betroffene Person nur einen Verstoß gegen die DSGVO nachweist. Vielmehr muss auch wirklich ein Schaden entstanden sein und dieser nachgewiesen werden. Im Urteil heißt es, dass ein immaterieller Schaden nicht schon dann vorliegt, „wenn eine Person, deren personenbezogene Daten an einen unbefugten Dritten weitergegeben wurden, der diese aber erwiesenermaßen nicht zur Kenntnis genommen hat, dennoch befürchtet, dass die Daten kopiert wurden und in Zukunft weitergegeben oder gar missbraucht werden könnten“. Nur ein „ungutes Gefühl“ wegen einer Datenweitergabe zu haben, genügt also nicht aus, um einen Schadensersatz geltend machen zu können. 

Das heißt also konkret: Wenn das bloße Risiko, dass die eigenen Daten missbräuchlich verwendet worden sein könnten, nicht ausreicht, um einen Schadensersatzanspruch nach der DSGVO geltend machen zu können, erhöhen sich die Anforderungen an den immateriellen Schadensersatz. Der EuGH bestätigt somit nochmals die strengen Maßgaben an einen Schadensersatzanspruch nach der DSGVO. Damit sollen auch leichtfertige und massenhafte Klagen vermieden werden.

Mehr zum Thema:

 

Artikelbild: http://www.depositphotos.com